JsOutProx

Cybersecurity-experter har identifierat ett nytt skadat skript som sprids i naturen förklädda som ett dokument. Ofta brukar dessa falska dokument använda en giltig filändelse som '.RTF' eller '.DOCX' men implantatet i fråga kommer som en '.JS' -fil. Denna fil innehåller en bit av JavaScript-kod som består av över 10 000 rader, och alla verkar vara meningslösa - det beror på att deras författare har använt flerskiktsförstörning, vilket gör det mycket svårt och tidskrävande att omvända dumhet och avslöjar det verkliga innehållet i det osäkra implantatet.

Analys av den komprometterade JavaScript-koden avslöjade några intressanta detaljer om den, till exempel det faktum att den är programmerad för att kommunicera med en kontrollserver belägen i Oslo, Norge. Dessutom har författarna till implantatet (kallad JsOutProx) ägnat extra uppmärksamhet åt att implementera anti-analys och kodobservationstekniker som gör det mycket svårt att dechiffrera och analysera det skadade skriptets beteende.

Ett kompromissat JavaScript-implantat stöder ett brett utbud av kommandon och plugins

Ändå var deras ansträngningar inte tillräckligt för att stoppa skadlig forskare, och experter inom cybersäkerhet har kunnat se hela JsOutProx förmåga. När de initialiserats kommer JsOutProx att släppa sina filer till mapparna% APPDATA% och% TEMP%, och sedan skapa en ny registernyckel som beordrar systemet att starta dessa filer när det startar upp. När det har startats kan JsOutProx drivas via fjärrkommandon skickade från kontrollservern. I sin nuvarande form kan implantatet utföra följande uppgifter:

• Starta om eller uppdatera sig själv.
• Avsluta sig själv och ta bort dess filer.
• Kontrollera den infekterade maskinen för att starta om eller stänga av.
• Kör en JavaScript-kod.
• Kör en Visual Basic-kod.
• Sov under en viss tid.
• Ladda ett ".NET" dynamiskt länkbibliotek.

Förutom att stödja dessa grundläggande kommandon kan funktionaliteten för JsOutProx förbättras med installationen av specialanpassade plugins:

• Process Plugin - Gör det möjligt för operatören att döda processer eller köra nya.
• DNS-plugin - Kan ändra den infekterade maskinens DNS-konfiguration.
• Token Plugin - Det används för att samla in "Symantec VIP One Time Password" som ofta används för multifaktor-autentisering av företag.
• Outlook-plugin - samlar in kontouppgifter, kontakter och e-postmeddelanden.
• Prompt Plugin - Visar ett anpassat meddelande på den komprometterade enheten.

JsOutProx verkar vara en produkt från erfarna malware-utvecklare, och det är möjligt att en APT-grupp (Advanced Persistent Threat) kan stå bakom dess utveckling. Inget märkbart namn har dock kopplats till den här operationen än. De senaste versionerna av antivirusmotorer bör kunna upptäcka och ta bort JsOutProx-implantatet med lätthet.